Guten Tag,
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz. Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren. Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..) und er zeigt mir folgenden Bericht, mit dem ich allerdings nicht viel anfangen kann.. (übrigens habe ich mit Search&Destroy schon einiges an Spyware gelöscht und auch HijackThis laufen lassen)
Ich hoffe dass es jemanden unter euch gibt, der mir sagen kann ob und wenn ja wie sehr mein Computer infiziert ist. Und wie ich die Schädlinge wieder loswerden kann.. Vielen Dank im Vorraus!
Scanbericht:
Scan-Bericht
Freitag, 25. November 2005 17:20:12 - 17:21:58
Computername: Betrieb __________
Ziel: C:\\ D:\\
--------------------------------------------------------------------------------
Ergebnis: 18 Viren gefunden
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temp\\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\kl[2].0xt Infektion: Trojan-Downloader.Win32.Small.bww
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\index[7].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\adv698[1].0tm Infektion: Trojan-Dropper.VBS.Inor.cz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\index[4].0tm Infektion: Exploit.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\cmdexe2[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\bb[1].0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\sploit[1].0nr Infektion: Trojan-Downloader.Win32.Ani.c
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\paytime[1].0xt Infektion: Trojan.Win32.StartPage.afs
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\isda1012_2062_m[3].0xe Infektion: Trojan.Win32.Dialer.hz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\index[3].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\cmdexe[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\WINDOWS\\system32\\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106069.0xe Infektion: Trojan-Spy.Win32.Briss.h
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106062.0xe Infektion: Trojan.Win32.KillApp.f
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106061.0xe Infektion: Backdoor.Win32.VB.oq
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106059.0xe Infektion: Trojan.Win32.Septic.a
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP47\\A0107709.0xe Infektion: Trojan.Win32.Spooner.f
--------------------------------------------------------------------------------
Statistiken
Dateien:
Gescannt: 44446
Infiziert: 18
Verdächtig: 0
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht gescannt: 51
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtig: 0
Desinfiziert: 0
Dateien nicht gescannt:
Datei D:\\hiberfil.sys kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\spool\\PRINTERS\\FP00000.SHD kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\default kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SAM kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SECURITY kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\system kann nicht geöffnet werden.
Scannen von D:\\WINDOWS\\pchealth\\helpctr\\Indices\\merged.hhk wurde abgebrochen. [F-Secure Libra]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\SVGCore.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\MakeAccessible.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe1 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\ADMPlugin.apl wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroForm.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\PPKLite.api wurde abgebrochen. [F-Secure AVP]
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\admin.pub kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\policy.ipf kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\chandir.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\L0000002.FCS kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\prs.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\storydb.dat kann nicht geöffnet werden.
Scannen von D:\\Programme\\MSN\\MSNCoreFiles\\Install\\MSN9Components\\msnmsgs.msi\\stream 22\\msnmsgrexe.ADEB440D_7847_4F65_80BD_899870ED2EC9 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E2561403.CAB\\EXCEL.EXE wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E3561403.CAB\\XLMAIN11.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\EV561403.CAB\\VBAXL10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\L2561406.CAB\\OUTLLIB.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\O1561412.CAB\\MSO.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\WV561408.CAB\\VBAWD10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YA561406.CAB\\OWC10.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YB561413.CAB\\OWC11.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZC561401.CAB\\HTMLREF.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Eine Datei in Archiv D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZF612707.CAB\\REFSPCL.TTF kann nicht geöffnet werden
Datei D:\\Dokumente und Einstellungen\\NetworkService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\NetworkService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Anwendungsdaten\\ispnews\\ispn.ini kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW1.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW2.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW3.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW4.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW5.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW6.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW7.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW8.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW9.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterAntiVirusDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterFirewallDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterUpdateDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
--------------------------------------------------------------------------------
Optionen
Version der Virendefinitionen:
2005-11-25_02
Scan-Module:
F-Secure AVP: 6.0.167.6190, 2005-11-25
F-Secure Libra: 2.01.10, 2005-11-25
F-Secure Orion: 1.02.33, 2005-11-25
Scan-Optionen:
Alle Dateien scannen
Archive scannen: ein
Aktion:
Nach Scannen fragen
--------------------------------------------------------------------------------
Das Problem ist ja eigentlich, dass mir das Tool nachdem es 2Std lang gesucht hat zwar diese Auflistung zeigt, die Viren aber anscheinend nicht gelöscht hat..
Ich bin für jede Antwort dankbar,
mfg
c.
Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge
Hallo!
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz.
Definiere "ungeschützt"!
Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren.
So etwas geschieht aber nur, wenn a) der Nutzer Schadsoftware eigenhänfig installiert hat oder b) Sicherheitslücken ausgenutzt wurden, die im System bestehen, da sie der Nutzer nicht durch Einspielen von Updates oder durch sachgerechte Konfiguration von Anwendungen und dem Betriebssystem geschlossen hatte.
D:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Temp\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
Ein Trojan-Dropper. Er installiert weitere Trojaner im System, so z.B.:
D:\WINDOWS\system32\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
Ich würde mal dringend die Sicherheitskonfiguration und den Patchstand deines Browsers prüfen (für die Zukunft!).
Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..)
Prinzipiell ein recht guter Virenscanner, da auf der Kaspersky-Engine basierend. Zwei Dinge kann er aber nicht:
1.) System von aktiven Schädlingen zuverlässig säubern.
2.) System zuerlässig schützen, wenn und weil du andere, grundlegende Maßnahmen wie die Systempflege unterlassen hast.
Für Dich gelten aufgrund der bestehenden Infektion die gleichen Tipps wie hier für harald:
http://www.nickles.de/thread_cache/537987020.html#_pc